Gestern berichtete Crackberry über einen sehr wichtigen Sachverhalt, der die Integrität und Sicherheit der BlackBerry-Lösung betrifft. In Deutschland hat sich bisher noch keine der großen Plattformen wie Heise um das Thema gekümmert und der unauffällige Titel lautet:
RIM installs BlackBerry server in Mumbai
Was bedeutet dies nun? Die BlackBerry-Infrastruktur basiert auf sogenannten Network Operation Centers (NOC), deren Funktion wird in diesem Artikel der Computerwoche sehr gut dargestellt. Diese wurden bisher in Kanada, Singapur und UK betrieben. RIM versicherte bis auf den heutigen Tag, dass ein Auslesen der Daten im NOC nicht gestattet wird. Wenn man daran glaubte – nicht alle taten dies, ich aber schon – war die BlackBerry Technologie deutlich sicherer als andere Technologien, gerade wenn es um Instant Messaging über den BlackBerry Messenger geht.
RIM hat nun dem Druck der indischen Regierung nachgegeben, dass diese Zugriff auf das indische NOC erhält, gleiches wird in anderen Ländern passieren. Kaufmännisch kann ich dies durchaus verstehen, der indische Markt ist für jeden Hersteller interessant. Der wesentliche Nachteil ist allerdings, dass sich hierdurch der Sicherheitsnimbus der BlackBerry Technologie in Luft auflöst, denn niemand weiss, wie weit die Zugeständnisse von RIM an Regierungsstellen gehen.
Derzeit gilt die Kommunikation von BES-Servern zwar noch als sicher aufgrund der am BES-Server erfolgenden Verschlüsselung – aber ist das wirklich so? Die seit langem kursierenden Sicherheitsbedenken gegen die NOCs erhalten durch diese Entwicklung neue Nahrung. Meines Erachtens ist ab jetzt unter dem Sicherheitsaspekt jedes andere Verschlüsselungskonzept der BlackBerry Technologie überlegen, da man bei selbst generierten Zertifikaten und selbst aufgesetzten Verschlüsselungstechnologien eine bessere Kontrolle über die Technologie des gesamten Kommunikationsweges hat.
Noch bedenklicher ist die Entwicklung vor dem Hintergrund der Tatsache, dass RIM mit BlackBerry Mobile Fusion versucht im Markt für Mobile Device Management Fuss zu fassen. Welcher CIO kann ernsthaft auf eine Technologie setzen, die seine gesamte mobile Infrastruktur mit einem NOC verbindet, dessen Funktionalität (verständlicherweise) nicht transparent ist, gleichzeitig aber Regierungen in Schwellenländern, die nicht für unsere Begriffe von Sicherheit und Datenschutz stehen, zugänglich gemacht wird? Diese Bedenken werden auch sehr klar von einigen Usern im Crackberry-Beitrag kommentiert:
Zutuk: I wouldn’t be surprised if the US and Canadian governments demand this from RIM as well, especially since they are introducing those new bills to look at our internet activity.
1magine: Awesome. Next next the N.A. NOC goes down, maybe they’ll route through Mumbai. Perfect security solution for North America.
EchoTango: This removes a key RIM differentiator as the network is no longer private, just like all the rest. I can imagine the lobbying to “shut down the terrorist network” and by “accident”, level the competitive playing field.
Aber eines ist ab jetzt wenigstens noch klarer als zuvor: Sichere Kommunikation und sicheres Mobile Device Management muss vom Anwender selbst organisiert werden. Ich glaube, dass sich RIM mit dieser Entscheidung nunmehr endgültig in die Reihe der Endgeräte-Hersteller einreiht und damit auf den Consumer Markt fokussiert. Die Bedeutung im Business-Umfeld wird weiter zurückgehen, denn wer will schon ein Mobile Device Management einsetzen, das mit einem NOC kommuniziert, wo man noch nicht einmal weiss, in welchem Land dieses steht, wie der Traffic geroutet wird und wer überhaupt Zugang hat?
Immer mehr Firmen sicher nicht.
PS: Diese Entwicklung geht deutlich über die Zugeständnisse aus dem Januar 2011 hinaus, nachzulesen z.B. beim Handelsblatt. Denn nunmehr hat man eine komplette Infrastruktur (NOC) nach Indien gestellt und niemand weiss, wie diese in die Gesamtstruktur eingebunden ist und was Indien zugesagt wurde.
Update 1
Ich habe jetzt den Originalbericht in der Times of India gelesen. Dort wird explizit ausgeführt wie mit BES Mails angeblich umgegangen wird:
DoT has informed the home ministry that there are about 5,000 enterprise servers for BES. RIM representatives had earlier explained that BlackBerry mobile devices send encrypted emails routed to BES located with the service provider. BES decrypts the messages and sends it to the email server of the service provider where it is stored in decrypted form. Then the message is pushed to the BlackBerry device in encrypted form.
Andere interessante Beiträge:
Eine oft gestellte Frage an uns ist, wie eine MDM-Lösung wie datomo Mobile Device Management in die vorhandene Unternehmens-IT integriert werden kann. Selbstverständlich kann datomo Mobile Device Management allein betrieben werden, die integrierte Userverwaltung ist mächtig und bietet alles, um eine…
In dieser Woche haben wir für datomo Mobile Device Management gleich 3 neue Versionen veröffentlicht, die alle der weiteren Verbesserung von Rooting– und Jailbreak-Erkennung dienen, aus diesem Grund berichten wir diesmal zusammengefasst zu allen Versionen. Die Verbesserungen der einzelnen Versionen:…
In Deutschland ist erstaunlicherweise noch weitgehend unbekannt, dass Good MobileIron und AirWatch wegen zahlreicher Patentverletzungen vor dem Distriktgericht von San Jose am 14. November verklagt hat. Wen der Ort San Jose an etwas erinnert – richtig! Apple hat dort vor kurzem erst mit Pauken und T…
Wir berichteten gestern über die dramatische Sicherheitslücke auf einer großen Anzahl von Samsung Android-Geräten, von der über 100 Millionen Geräte betroffen sind im Beitrag Sicherheitslücke bei Samsung Galaxy S2, S3, S3 LTE, Galaxy Note und Note 2, Note 10.1 und Galaxy Tab Plus. Von Samsung hab…
In den letzten Tagen haben uns viele Anfragen mit genau dieser Frage erreicht. Die meisten Fragesteller kennen die korrekte Antwort instinktiv und erwarten nur eine Bestätigung ihrer begründeten Vermutung. Die Antwort ist ganz einfach: Nein! Keine Software aus den USA, die sichere Verschlüsselung &a…
[…] Integration des BlackBerry Enterprise Servers 5.0.3 – keine sichere Technik mehr […]
[…] OS 2.0 eher versteckt bestätigt. Im Kern ist es nicht wirklich überraschend, seitdem die Technologie des BlackBerry Enterprise Servers an Indien offenbart wurde. RIM […]
Ich habe nichts anderes geschrieben:
Derzeit gilt die Kommunikation von BES-Servern zwar noch als sicher aufgrund der am BES-Server erfolgenden Verschlüsselung – aber ist das wirklich so?
Kennen Sie die Abreden mit Indien? Wissen Sie, dass dort wirklich nur User mit BlackBerry Internet Service mitgelesen werden können? Wissen Sie, wie weit die Zugeständnisse an Indien gehen?
Ich weiss es nicht und bevorzuge mittlerweile Technologien, die der Anwender komplett unter Kontrolle hat.
„– aber ist das wirklich so?” — mit solchen Halbsätzen wird gerne eine Verschwörung herbeizitiert, wenn die eigenen Informationen nicht reichen. Technisch gesehen ist es alles andere als einfach, die Verschlüsselung zwischen BES und Smartphone zu knacken. Es ist sicher machbar, deutlich einfacher ist es aber, wenn sich die indische Regierung (oder jede andere übrigens) die Leitung des Unternehmens anzapft, schließlich verschlüsselt kaum ein Unternehmen die Nachrichten. Oder nutzen Sie Lösungen wie PGP? Das wird übrigens im verlinkten CoWo-Artikel schön erklärt.
„der Anwender komplett unter Kontrolle hat.„
Die da wären? ActiveSync? IMAP? POP3? Kontrolle hat man maximal bis zum Router im eigenen Unternehmen.
Ich sehe, dass Sie unter anderem Amazon nutzen, um Cloud-Szenarien zu verwirklichen — kennen Sie hier die Absprachen zwischen dem Anbieter und dem Land, in dem die Amazon-Cloud-Server stehen?
Ich verstehe, dass man auf RIM rumhackt, das ist ja ein netter Sport und teilweise auch berechtigt. Allerdings wäre es schön, wenn Sie die gleichen Maßstäbe auch bei anderen Lösungen anlegen, die Sie ja aktiv anbieten.
Sie haben mit allem Recht. Aber Sie haben — genausowenig wie ich — eine Antwort auf die oben gestellten Fragen. Wer sagt, dass Indien nur den BIS kontrollieren will? Wer sagt, dass die Informationen über Firmen nicht viel interessanter sind (Industriespionage)? Und wer sagt, dass in Indien 1:1 die heute bekannte Technologie installiert wurde? Wir wissen es beide nicht.
Ich gehe davon aus, dass ich Ihnen an dieser Stelle nicht die Möglichkeiten sicherer Email-Kommunikation darstellen muss, die kennen Sie sicher und das hat nichts mit IMAP, POP oder AS zu tun. Und um auf Ihre Frage zu antworten: Ja, wir nutzen Verschlüsselungstechnik für unsere Email-Kommunikation in ausgewählten Bereichen. Und diese Lösungen kontrollieren wir von Endpunkt zu Endpunkt.
Zum Thema Cloud: Ich halte Cloud-Lösungen vor dem Hintergrund Ihres berechtigten Hinweises grundsätzlich nicht für sicher, schon gar nicht von US-Unternehmen. Aber es gibt Anwender, denen dieser Punkt egal ist und für diese Gruppe kann die Cloud eine Lösung sein.
Ich hacke nicht auf RIM rum. Im Gegenteil. Ich bedauere als jahrelanger Anhänger der Lösung die Entwicklung, die RIM meines Erachtens schadet.
Dieses „Problem” gibt es doch schon immer. Die NOCs stehen in den UK und den USA, nicht dass es da schwieriger wäre, an Daten zu kommen.
Aber: die BES-Architektur sorgt für eine End-to-End-Verschlüsselung zwischen BES-Server (in der Firma) und dem Smartphone-Endpunkt. Problematisch ist in diesem Zusammenhang die Kombination aus BIS und Blackberry, also die Dienste, die von über die Provider kommen und ohen BES auskommen. Um die BES-Mails zu knacken, müsste die Verschlüsselung komplett aufgebrochen und wieder zusammengesetzt werden.
Den Unterschied sollte ein Anbieter von Mobile Lösungen eigentlich kennen.